xz后门黑客潜伏时间线，开源软件供应链安全分水岭 ｜笔记

“开源软件供应链投毒案”“几乎撬开了保险金库的大门”“2024安全界第一大瓜”“核弹级漏洞”说的是发生在软件开源社区潜伏的故事。过去近两年半的时间里，有位名叫“Jia Tan”的成为xz压缩库的贡献者，工作勤奋、责任心强，最终获得了提交访问权限和维护者身份。xz是非常基础的压缩组件，开源操作系统Linux的软件基本上都会默认安装。利用这些权限，Jia Tan在xz的核心组件liblzma中精心安装了一个非常隐蔽的后门，而基于systemd的Linux系统上OpenSSH sshd都要依赖liblzma。sshd是应用最广泛的远程控制服务。该后门为攻击者监控在SSH发送的隐藏命令，使攻击者能够在不登录的情况下在目标系统上执行任意命令：未经身份验证的、有针对性的远程代码执行，可以导致完全控制目标系统。该漏洞的危险性评为10分，意味着它具有极高的风险等级。这个漏洞 ………………………………